PCI DSS:为什么漏洞评估和渗透测试那么难?

日期: 2014-10-19 作者:Mike Chapple翻译:邹铮 来源:TechTarget中国 英文

2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是,该报告发现“要求11”的合规率最低,尽管很多安全专业人士认为这是该报告中最直接的规定之一,该要求规定企业应对安全系统和流程定期进行测试。 接下来我们将探讨被Verizon列为‘合规绊脚石’的两个具体领域,以及企业应该如何将它们构建到PCI DSS合规计划中。 渗透测试 安全专业人士都知道,PCI DSS要求企业环境的渗透测试需采用行业公认的方法,例如NIST SP 800-115。

并且,这些测试必须至少每年进行一次,而且在持卡人数据环境作出任何重大变更之后必须重复测试。 Verizon发现的第一……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是,该报告发现“要求11”的合规率最低,尽管很多安全专业人士认为这是该报告中最直接的规定之一,该要求规定企业应对安全系统和流程定期进行测试。

接下来我们将探讨被Verizon列为‘合规绊脚石’的两个具体领域,以及企业应该如何将它们构建到PCI DSS合规计划中。

渗透测试

安全专业人士都知道,PCI DSS要求企业环境的渗透测试需采用行业公认的方法,例如NIST SP 800-115。并且,这些测试必须至少每年进行一次,而且在持卡人数据环境作出任何重大变更之后必须重复测试。

Verizon发现的第一个问题是,60%的企业未能提供证据证明他们在过去的一年中执行了渗透测试。当涉及PCI合规时,维护渗透测试的文档几乎和实际执行测试同样重要。审计员不会相信你的一面之词,他们希望看到证据。

企业可能会遇到的第二个问题出现在处理渗透测试结果的过程中。PCI要求企业对渗透测试发现的结果采取行动。具体来说,如果测试发现任何可利用的漏洞,企业必须修复问题,然后重复测试。渗透测试周期要到漏洞被修复才完成,渗透测试需要提供系统已修复漏洞的证明书。根据Verizon PCI合规报告,只有44%的企业满足这一要求。

通过确保以符合PCI法律条文的方式执行渗透测试,企业可以避开这些渗透测试的雷区。企业并没有必要聘请QSA或者ASV来执行测试。如果企业使用内部人员,应该确保这些人员符合要求并且独立于工作人员维护系统,同时企业还应该保留渗透测试的证据。企业内符合要求的工作人员应该是内部审计团队的人员。

漏洞扫描

漏洞扫描是很多企业在PCI合规中容易出错的另一个领域。例如,该报告发现,不到一半的企业会执行内部漏洞扫描或由认可的扫描供应商进行外部扫描,这两者都是PCI的必要条件。这些扫描必须在持卡人环境中执行,并可由外部评估人员或者内部员工(不负责维护被扫描系统的人员)进行管理。

对于扫描文档,企业应该保存记录,这些记录需要清楚地展示每三个月的扫描结果。只保留最新的扫描纪录是不够的,因为这只能说明某个时间点的合规率,而不是所要求的全年扫描计划。此外,扫描结果必须清楚明确,必须每个季度进行管理。任何检测到的高风险漏洞都必须尽快修复,并且应该进行后续扫描,直到所有问题得到顺利解决。

Verizon报告并没有详细说明企业未能执行这种测试的具体原因,但这可能是因为记录保存不足;不恰当地使用维护安全控制的人员来进行扫描;或者在问题解决前没有反复进行扫描。现在是一个很好的时机,企业应该检查其扫描程序来确保其中包含关于内部和外部扫描的文档记录。

尽管存在这些问题,在过去一年中,PCI合规世界已经走过了很长的路。Verizon的研究中乐观地指出,企业PCI DSS平均合规水平从2011年的52.9%上升到2013年的85.2%。这是重大的一步,这也是个好兆头,通过强化企业安全状态以及降低代价高昂的数据泄露事故的可能性,PCI DSS正在成为日常操作中的一部分。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

翻译

邹铮
邹铮

相关推荐

  • Mozilla安全开源基金:让Heartbleed历史不再重演

    Mozilla公司公共政策负责人Chris Riley在博客中表示Mozilla安全开源基金将会为某些广泛使用的开源库和程序的关键开源软件项目提供安全审计、修复和验证。

  • 防数据泄密:是否应实施“多重认证”?

    不管你如何认识多重认证,随着更多的行业规范都要求多重认证,多数企业都要尽早实施这种安全机制。虽然多重认证的实施存在一些困难,但它是一种可以减少风险而不仅仅是满足审计人员的重要举措之一。

  • 从最新的SEC风险预警中,我们能借鉴什么?

    美国证券交易委员会(SEC)合规检查和考核办公室最近发布了风险预警,该预警为金融服务公司进一步提供了网络安全指导,着重关注证券公司和投资顾问客户信息的保护。从中我们能借鉴到什么?

  • 关于POS终端安全 PCI做了哪些要求?

    PCI DSS包括对POS终端安全的要求。在本文中,专家Mike Chapple将解释如何理解PCI对于POS终端的要求,并就此的最佳安全实践给出建议。